Google、Goパッケージのセキュリティリスク可視化ツール「Capslock」を公開：脆弱性スキャンツールとの違いは？

Googleのオープンソースセキュリティチームは、Goパッケージのセキュリティリスクを可視化する「Capslock」を公開した。

» 2023年09月30日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleのオープンソースセキュリティチーム（GOSST）は2023年9月15日（米国時間）、Goパッケージのセキュリティリスクを可視化する「Capslock」のα版をGitHubで公開した。

　Capslockは、指定されたパッケージとその依存関係の中で実行されている特権操作（ネットワークアクセスや任意のコード実行）を可視化するCLIツールだ。特権操作を実行しているコード行を自動で特定することで、パッケージの透明性や依存関係の理解を支援する。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。
「Chrome」のセキュリティレビュー文化に学ぶ、開発とセキュリティが協働する方法
Googleは公式ブログで、セキュリティ中心のエンジニアリング文化がある「Google Chrome」のセキュリティレビュー文化を例に、どのようにレビューを進めたり、レビュアーを育成しているのか解説した。
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表
Googleは、ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開した。脆弱性の検出を一部自動化できるため、大量のシステムを持つ大企業にとって特に有用だという。